您好： 我是360代码卫士团队的工作人员，在我们的开源项目检测中发现arthas中存在路径遍历缺陷。应用程序通过Web请求获取不可信赖的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了Web用户，应用程序将易于受到反射型XSS攻击。
yaycrawler.admin.controller.TaskController.java

上传文件将处理后的文件结果返回给页面，当上传文件中包含了恶意代码，web浏览器解析结果内容时将会正常解析恶意代码，导致应用程序收到反射型xss攻击。
（1）对用户的输入进行合理验证（如年龄只能是数字），对特殊字符（如<、>、'、"以及<script>、javascript等进行过滤。
（2）根据数据将要置于HTML上下文中的不同位置（HTML标签、HTML属性、JavaScript脚本、CSS、URL），对所有不可信数据进行恰当的输出编码。
（3）设置HttpOnly属性，避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。